Cointime

Cointime

Download App
iOS & Android

Phân tích hai sơ đồ ví của MPC và hợp đồng thông minh

Validated Media

Nhìn bề ngoài, MPC linh hoạt và hiệu quả, tuy nhiên, khi nghiên cứu chuyên sâu, chúng tôi đã tìm thấy một số lỗ hổng bảo mật và vectơ tấn công vốn có trong MPC và chúng tôi không thể phủ nhận sự tồn tại của những vấn đề này.

Tiêu đề gốc: " Rủi ro của MPC và sự chuyển đổi sang Ví hợp đồng thông minh "

Được viết bởi: Sukhans Asrani

Biên dịch: MK

Tự lưu trữ hiện không đạt yêu cầu. Các giải pháp mặc định như Sổ cái, Metamask và các Tài khoản sở hữu bên ngoài (EOA) khác gây ra các vấn đề thực sự cho người dùng tiền điện tử.

Là người dùng, bạn phải:

1. Tìm hiểu cách bảo vệ cụm từ hạt giống của bạn. Nếu kẻ tấn công lấy được cụm từ hạt giống 24 từ của bạn, chúng có thể đánh cắp tất cả tài sản của bạn.

2. Tránh sai lầm khi giao dịch. Việc ký kết các giao dịch độc hại hoặc gửi tài sản đến địa chỉ sai là quá phổ biến.

3. Xây dựng kế hoạch phục hồi và kế thừa tùy chỉnh trong trường hợp bạn hoặc người thân của bạn mất quyền truy cập vào cụm từ hạt giống của bạn.

Điện toán đa bên (MPC) và ví hợp đồng thông minh là hai giải pháp có thể giải quyết những vấn đề này. Chúng cho phép các nhà cung cấp ví xây dựng các tính năng như khôi phục xã hội, giới hạn giao dịch, xác thực hai yếu tố, v.v. trên EOA. Tại Waymont, ban đầu chúng tôi đã áp dụng MPC. Nhìn bề ngoài, nó có vẻ linh hoạt và hiệu quả. Tuy nhiên, khi tìm hiểu sâu hơn, chúng tôi đã tìm thấy một số lỗ hổng bảo mật và vectơ tấn công cố hữu trong MPC và chúng tôi không thể phủ nhận sự tồn tại của những vấn đề này.

Do đó, cuối cùng chúng tôi đã quyết định chuyển cơ sở hạ tầng sang các hợp đồng thông minh của Safe, hiện đang quản lý an toàn hơn 100 tỷ đô la Mỹ tài sản. Bài viết này sẽ trình bày chi tiết: 1) ví MPC hoạt động như thế nào; 2) các vấn đề về MPC mà chúng tôi đã tìm thấy; 3) lý do tại sao chúng tôi chuyển sang hợp đồng thông minh.

1) Nguyên lý hoạt động của ví MPC

Ở cấp độ cao, ví MPC tạo khóa riêng được chia trước thành các chia sẻ khóa và phân phối cho các bên khác nhau. Các chia sẻ khóa này có thể ký các giao dịch một cách độc lập và chữ ký ngoại tuyến của mỗi chia sẻ khóa có thể được kết hợp thành chữ ký Ethereum hợp lệ.

Các mô hình MPC nhìn chung tương tự nhau, nhưng các bên nắm giữ cổ phần chính có thể khác nhau.

MPC tập trung: Tất cả các chia sẻ khóa được kiểm soát bởi một thực thể duy nhất (chẳng hạn như Coinbase), nhưng được xử lý trong môi trường đám mây an toàn và biệt lập. Cách tiếp cận này thường được các nhà cung cấp dịch vụ lưu trữ tổ chức sử dụng để đạt hiệu quả hoạt động, nhưng nó có thể khiến tài sản dễ bị tấn công nội bộ và các điểm lỗi đơn lẻ. Điều này cũng có thể yêu cầu nhà cung cấp đăng ký làm người giám hộ hợp pháp.

Hybrid MPC: Chia sẻ khóa được phân phối giữa người dùng, nhà cung cấp ví và bên thứ ba. Các nhà cung cấp như Fireblocks và ZenGo sử dụng phương pháp này để bạn không phải tin tưởng một nhà cung cấp tập trung nắm giữ tất cả các cổ phần chính. Mặc dù điều này mang lại tính bảo mật cao hơn, nhưng nó vẫn yêu cầu một bên tập trung phân phối, quản lý và thu hồi các chia sẻ chính một cách an toàn.

2) Thách thức của ví MPC

Bất kể bạn sử dụng mô hình nào, có ba vấn đề chính với thiết lập dịch vụ lưu trữ dựa trên MPC.

Vấn đề 1: Bạn phải tin tưởng một bên tập trung để phối hợp an toàn việc ký và tạo khóa.

Mọi thiết lập MPC kết hợp hoặc tập trung nhất thiết phải yêu cầu một bên tập trung đáng tin cậy để bảo vệ an toàn một hoặc nhiều chia sẻ khóa (và các chia sẻ khóa dự phòng có khả năng).

Vấn đề 1: Bạn phải tin tưởng một bên tập trung để phối hợp an toàn việc ký và tạo khóa.

Mọi thiết lập MPC kết hợp hoặc tập trung nhất thiết phải yêu cầu một bên tập trung đáng tin cậy để bảo vệ an toàn một hoặc nhiều chia sẻ khóa (và các chia sẻ khóa dự phòng có khả năng).

Việc bảo mật các chia sẻ chính này yêu cầu cơ sở hạ tầng đám mây tinh vi và đáng tin cậy. Sự phức tạp liên quan đến việc tạo khóa phân tán, xoay vòng khóa và thu hồi khóa có thể khiến bạn có nguy cơ bị lộ khóa chia sẻ thông qua các mối đe dọa nội bộ và các cuộc tấn công trung gian. Việc tiếp xúc đủ số lượng chia sẻ chính sẽ giúp kẻ tấn công kiểm soát hoàn toàn tài sản của bạn.

Vấn đề 2: Bạn phải tin tưởng rằng các chia sẻ khóa cũ sẽ bị loại bỏ đúng cách khi thu hồi khóa.

Nếu bạn muốn thu hồi quyền truy cập của người ký MPC, bạn cần có khả năng thu hồi các khóa và bạn cần tin tưởng tất cả các bên để loại bỏ các chia sẻ khóa cũ. Do tính chất xác định của mật mã, việc thu hồi các chia sẻ chính có thể là một thách thức. Nếu cơ sở hạ tầng chia sẻ khóa của nhà cung cấp ví bị vi-rút xâm phạm, vi-rút có thể không hoạt động, thu thập các chia sẻ khóa cũ mỗi khi khóa bị thu hồi, cho đến khi kẻ tấn công có đủ chia sẻ khóa để chuyển tất cả tài sản.

Vấn đề 3: Bạn phải tin tưởng rằng thuật toán MPC của bạn không có lỗi

Thuật toán MPC liên quan đến mật mã phức tạp và thuật toán được cập nhật thường xuyên để cải thiện hiệu suất và chức năng. Các lỗ hổng đã được tìm thấy trong các thuật toán tiêu chuẩn ngành và một lỗi trong quá trình triển khai MPC có thể dẫn đến việc kẻ tấn công khai thác lỗ hổng bị mất hoàn toàn tiền.

Ví dụ: hai lỗ hổng gần đây đã được phát hiện trong không gian tiền điện tử:

1. Rò rỉ thông tin private key của GG18 và GG20 (thuật toán MPC được Fireblocks sử dụng trong năm 2019-2021)

2. Một lỗ hổng được phát hiện gần đây trong triển khai MPC của BitGo sẽ cung cấp cho tin tặc toàn quyền truy cập vào tiền của bạn chỉ bằng một chữ ký.

3) Hợp đồng thông minh > Ví dựa trên MPC

Chuyển sang giải pháp hợp đồng thông minh (An toàn) cho phép chúng tôi loại bỏ mọi lo ngại mà chúng tôi có:

Vấn đề 1: Bạn phải tin tưởng một bên tập trung để phối hợp an toàn việc ký và tạo khóa.

Giải pháp an toàn: minh bạch + chữ ký có thể kiểm chứng và tạo khóa. Kho tiền Waymont của bạn là ví đa chữ ký An toàn 2 trên 2. Bạn có thể xác minh trên chuỗi rằng người ký 1 là thiết bị di động đã đăng ký của bạn và người ký 2 là người bảo vệ chính sách Waymont của bạn. Waymont không bao giờ nắm giữ bất kỳ cổ phần quan trọng nào, vì vậy ngay cả khi bị lộ, các giao dịch không thể được bắt đầu và tài sản của bạn bị tổn hại.

Vấn đề 2: Bạn phải tin tưởng rằng các chia sẻ khóa cũ sẽ bị loại bỏ đúng cách khi thu hồi khóa.

Giải pháp an toàn: Bạn có thể tự do xoay các phím, xóa và thêm người ký trên chuỗi. Không cần loại bỏ các chia sẻ chính và không có nguy cơ các bên độc hại tích lũy các chia sẻ chính cũ.

Vấn đề 3: Bạn phải tin tưởng rằng thuật toán MPC của bạn không có lỗi.

Giải pháp của Safe: Các hợp đồng thông minh của Safe bảo vệ hơn 100 tỷ đô la tài sản. Kể từ năm 2018, các hợp đồng thông minh của Safe đã vượt qua các tiêu chuẩn bảo mật cao nhất của ngành, bao gồm xác minh chính thức và hoạt động tốt trong hơn 11 cuộc kiểm tra bảo mật.

Tuy nhiên, sử dụng Safe không phải là không có sự hy sinh. Bằng cách tối ưu hóa bảo mật, chúng tôi chấp nhận chi phí gas tăng lên và tạm thời khóa nó trên chuỗi EVM. Chúng tôi nghĩ rằng đây là một sự lựa chọn hiển nhiên. Ưu tiên tuyệt đối của chúng tôi là an toàn. Hợp đồng thông minh cũng cung cấp các lợi ích khác cho người dùng của chúng tôi:

1. Khóa thời gian trên chuỗi - khóa thời gian cho các hoạt động khôi phục và trì hoãn mà người dùng có thể hủy bỏ

2. Giao dịch hàng loạt - người dùng có thể thực hiện nhiều giao dịch cùng nhau để tiết kiệm gas

3. Giao dịch được tài trợ - Các bên khác có thể tài trợ giao dịch cho người dùng (cũng có thể thanh toán gas bằng bất kỳ mã thông báo ERC20 nào)

4. Bảo mật có thể lập trình - xoay vòng khóa trên chuỗi và quản lý khóa có thể lập trình (ví dụ: cần có các khóa ký bổ sung hoặc khác cho các giao dịch trên 10.000 đô la)

MPC vẫn có thể đóng một vai trò trong việc tự lưu trữ trong tương lai. Có thể là một lựa chọn hợp lý cho các tổ chức muốn làm việc với người giám sát. Hoặc như Lukas Schor, người sáng lập Safe, đã chỉ ra, MPC có thể được sử dụng như một giải pháp để cải thiện tính bảo mật của các khóa ký hợp đồng thông minh.

MPC vẫn có thể đóng một vai trò trong việc tự lưu trữ trong tương lai. Có thể là một lựa chọn hợp lý cho các tổ chức muốn làm việc với người giám sát. Hoặc như người sáng lập Safe, Lukas Schor đã chỉ ra, MPC có thể được sử dụng như một giải pháp để cải thiện tính bảo mật của các khóa ký hợp đồng thông minh.

Nhìn chung, với việc triển khai phù hợp, các thiết lập MPC có thể được bảo mật. Nhưng như đã nêu ở trên, MPC yêu cầu các giả định về niềm tin cố hữu và đưa ra các vectơ rủi ro mà Waymont và hầu hết những người dùng tiền điện tử gốc chúng tôi muốn tránh. Do đó, Waymont hiện đang tự tin bảo vệ hơn 100 tỷ đô la tài sản thông qua các hợp đồng thông minh An toàn.

cái ví Ethereum MPC Sổ cái MetaMask cơ sở hạ tầng ERC20 hợp đồng thông minh
Các bình luận

Tất cả bình luận

Recommended for you

  • Bản tin tối ngày 4 tháng 7

    1. BTC giảm xuống dưới 57.000 USD

  • Giao thức QED ra mắt lớp thực thi gốc zk trên Bitcoin, nhận được 6 triệu đô la tài chính

    QED Protocol lớp điều hành gốc zk có trụ sở tại Hồng Kông đã nhận được 6 triệu đô la tài trợ, dẫn đầu bởi Blockchain Capital. Công ty có kế hoạch sử dụng nguồn vốn này để mở rộng hoạt động và nỗ lực phát triển. Được thành lập bởi Carter Feldman, QED là lớp thực thi gốc của Bitcoin được thiết kế để giải quyết các thách thức trong quá trình phát triển Web3. Nền tảng của nó được thiết kế để trao quyền cho các nhà phát triển và người dùng, hỗ trợ các ứng dụng từ DeFi đến NFT. Ngoài ra, bằng cách sử dụng kiến ​​trúc đột phá bằng cách sử dụng các bằng chứng không có kiến ​​thức đệ quy nhanh và mô hình trạng thái PARTH, nó hoàn toàn vượt qua sự đánh đổi về khả năng mở rộng và bảo mật truyền thống, cho phép các ứng dụng Web3 quy mô cực lớn như trao đổi sổ đặt hàng cũng như các ứng dụng Quy mô Web2 và trò chơi. Công ty đã huy động được hơn 10 triệu đô la và đầu năm nay đã đảm bảo được vòng hạt giống trị giá 3,25 triệu đô la do Arrington Capital dẫn đầu, bao gồm Starkware, Draper Dragon, Blockchain Builders Fund, UTXO, Lbank Labs, Paper Ventures, Valhalla Capital, Edessa Capital và Anagram Ltd. nhà đầu tư nổi tiếng khác.

  • MMO Swords & Dungeons theo lượt giống như giả tưởng trên Web3 đã hoàn thành khoản tài trợ trị giá 5 triệu đô la Mỹ, với sự tham gia của Mirana, OKX Ventures và những người khác

    MMORPG Swords & Dungeons đa chuỗi Web3 đã công bố hoàn thành khoản tài trợ trị giá 5 triệu đô la Mỹ. Vòng tài trợ này được tài trợ bởi Mirana Ventures, Qiming Venture Partners, OKX Ventures, Y2Z Ventures, Matrix Partners, Folius Ventures, Mask Network, SNZ Capital, Arkstream Capital, Cloud Nine Capital, Primal Capital, Welight Capital và Bas1s Ventures cùng các tổ chức đầu tư khác đã tham gia đầu tư. Ngoài ra, Swords & Dungeons sẽ kết thúc phiên bản beta nội bộ của trò chơi thứ hai vào ngày 19 tháng 7. Trong phiên bản beta nội bộ, 5 triệu mã thông báo VÀNG sẽ được phát hành cho cộng đồng dưới dạng khuyến khích thử nghiệm và tất cả tiền gửi của người chơi trong thời gian thử nghiệm sẽ được chuyển đổi thành mã thông báo IDO Cổ phiếu, chiết khấu NFT hoặc toàn bộ USDT sẽ được trả lại cho những người chơi sớm dưới nhiều hình thức khác nhau.

  • Trò chơi chuỗi Swords & Dungeons hoàn thành khoản tài trợ 5 triệu USD

    MMORPG Swords & Dungeons đa chuỗi Web3 đã công bố hoàn thành khoản tài trợ trị giá 5 triệu đô la Mỹ. Vòng tài trợ này được tài trợ bởi Mirana Ventures, Qiming Venture Partners, OKX Ventures, Y2Z Ventures, Matrix Partners, Folius Ventures, Mask Network, SNZ Capital, Arkstream Capital và Cloud Nine Capital, Primal Capital, Welight Capital và Bas1s Ventures cùng các tổ chức đầu tư nổi tiếng khác đã tham gia đầu tư.

  • Bloomberg: Áp lực bán từ Mt. Gox, chính phủ và các công ty khai thác khiến Bitcoin giảm giá, trong khi những thay đổi chính sách tiềm năng của Cục Dự trữ Liên bang sẽ đảo ngược tâm lý thị trường

    Theo tin tức ngày 4 tháng 7, liên quan đến đợt suy giảm mới của thị trường, Richard Galvin, đồng sáng lập quỹ phòng hộ Digital Asset Capital Management, cho biết: “Một yếu tố là một ứng cử viên Đảng Dân chủ mạnh hơn có thể thay thế Biden và ông ấy có thể không ủng hộ tiền điện tử. “Trong ngắn hạn, nguyên nhân lớn hơn dẫn đến sự yếu kém của Bitcoin là áp lực bán từ Mt. Gox và hành vi bán của các địa chỉ chính phủ”. áp lực bán từ các thợ mỏ." "Tuy nhiên, tâm lý trên thị trường tiền điện tử có thể thay đổi nhanh chóng nếu dữ liệu kinh tế yếu kém của Hoa Kỳ thúc đẩy đặt cược vào chính sách tiền tệ nới lỏng của Cục Dự trữ Liên bang và việc phê duyệt niêm yết ETF giao ngay Ethereum cũng có thể thúc đẩy tâm lý thị trường. Những diễn giải về diễn biến chính trị của Hoa Kỳ cũng có thể thay đổi. Matt Hougan, giám đốc đầu tư của Bitwise Asset Management, tin rằng việc thay thế các ứng cử viên Đảng Dân chủ tiềm năng “có nhiều khả năng ở vị trí tốt hơn để giải quyết các vấn đề về tiền điện tử”. Ông cho biết thái độ của chính phủ đối với tài sản kỹ thuật số nhìn chung đã được cải thiện trong năm qua.

  • Nhà phân tích: BTC giảm xuống dưới ngưỡng kháng cự 60.000 USD là rất đáng kể

    Rachael Lucas, nhà phân tích tiền điện tử tại sàn giao dịch BTC Markets của Úc, cho biết việc BTC giảm xuống dưới ngưỡng kháng cự 60.000 USD là rất có ý nghĩa vì nó đánh dấu rào cản tâm lý đối với nhiều nhà đầu tư. Nếu Bitcoin vẫn ở dưới mức này, chúng ta có thể thấy sự biến động gia tăng trong ngắn hạn. Phần lớn sự biến động gần đây của tiền điện tử được cho là do khoản thanh toán sắp xảy ra cho các chủ nợ của sàn giao dịch tiền điện tử bị phá sản Mt. Số tiền hoàn trả lớn bằng Bitcoin sẽ mang lại “áp lực bán rất lớn” cho thị trường khi Bitcoin hấp thụ nguồn cung bổ sung.

  • SEC Hoa Kỳ yêu cầu thẩm phán bác bỏ vụ kiện do Quỹ Giáo dục DeFi và công ty quần áo Beba của Texas đệ trình chống lại họ

    Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã yêu cầu thẩm phán bác bỏ vụ kiện từ một công ty may mặc của Mỹ đã tìm cách tránh phải đối mặt với hành động pháp lý tiềm ẩn đối với chiến dịch airdrop trong quá khứ, Cointelegraph đưa tin. Vào ngày 3 tháng 7, SEC Hoa Kỳ đã đệ trình văn bản yêu cầu bác bỏ vụ kiện do Beba và Quỹ Giáo dục Tài chính Phi tập trung (Quỹ Giáo dục DeFi, gọi tắt là DEF) đệ trình vào ngày 25 tháng 3. Vụ kiện yêu cầu thẩm phán Tòa án quận Waco ra phán quyết rằng mã thông báo cùng tên do công ty Beba phát hành không phải là chứng khoán. Tuy nhiên, SEC coi vụ kiện là chính sách "quá sớm và dựa trên ảo tưởng".

  • Việc nắm giữ Bitcoin của MicroStrategy hiện có lợi nhuận thả nổi khoảng 5 tỷ USD

    Khi giá Bitcoin giảm xuống dưới 58.000 USD trong một thời gian ngắn và hiện được niêm yết ở mức 58.940 USD, lợi nhuận thả nổi của MicroStrategy trên các vị thế Bitcoin đã giảm trở lại mức 5,011 tỷ USD. Tính đến ngày 20 tháng 6 năm 2024, MicroStrategy nắm giữ 226.331 BTC, với mức giá trung bình là 36.798 USD mỗi Bitcoin và giá trị khoảng 8,33 tỷ USD. Vào ngày 21 tháng 5, vị thế Bitcoin của MicroStrategy từng có khoản lãi thả nổi là 7,734 tỷ USD.

  • Cơ quan tiền tệ Hàn Quốc đã hoàn thành việc xây dựng hệ thống giám sát thường trực đối với các giao dịch bất thường trên sàn giao dịch tài sản ảo

    Theo tin tức ngày 4 tháng 7, khi “Đạo luật bảo vệ người dùng tài sản ảo” có hiệu lực vào tháng 7, các cơ quan tài chính của Hàn Quốc đã thông báo rằng họ sẽ hợp tác với các sàn giao dịch tài sản ảo để phát triển “Nguyên tắc giám sát giao dịch bất thường liên tục”. Cơ quan tiền tệ Hồng Kông đã thiết lập một tiêu chuẩn bảng dữ liệu giao dịch thống nhất có thể phát hiện các giao dịch bất thường và nhiều sàn giao dịch khác nhau cũng đã thiết lập hệ thống máy tính. Các hạng mục tích lũy thông tin giao dịch mới được bổ sung chính bao gồm thông tin thị trường và thông tin truyền thông ủy thác giao dịch. Ngoài ra, một hệ thống báo cáo đã được thiết lập giữa Cơ quan giám sát tài chính và các sàn giao dịch. Sàn giao dịch có kế hoạch phát hiện những nghi ngờ về giao dịch không công bằng bằng cách phân tích dữ liệu bán hàng, thông tin mở tài khoản, thông tin phương tiện đặt hàng cũng như thông tin gửi và rút tiền sau khi phát hiện các giao dịch bất thường thông qua hệ thống giám sát thường xuyên của mình.

  • Cảnh sát Lan Châu triệt phá băng nhóm tội phạm lừa đảo tiền ảo và rửa tiền, bắt giữ 15 nghi phạm

    Theo báo cáo ngày 4/7, theo Lanzhou Daily, Chi nhánh Anning của Cục Công an thành phố Lan Châu mới đây đã theo dõi và phát động các hoạt động trên khắp các tỉnh, đồng thời triệt phá một băng nhóm tội phạm sử dụng gian lận tiền ảo và rửa tiền trên toàn chuỗi, đồng thời bắt giữ. 15 nghi phạm, tung tin 15 vụ. Trong một vụ án, nạn nhân là cô Liao đã gặp "bạn trai" sĩ quan quân đội của mình trên mạng. Đối mặt với yêu cầu đầu tư để mở tài khoản thay cho anh ta và sự cám dỗ của lợi nhuận cao, cô Liao đã chuyển một khoản "phí mở tài khoản" lên tới 100%. 150.000 nhân dân tệ vào tài khoản của bạn cô ấy. Sau khi "bạn trai" liên tục khoe mình kiếm được bao nhiêu tiền từ tài khoản do bạn bè quản lý, cô Liao đã rút 1 triệu nhân dân tệ vào ngày 1 tháng 5 và chuyển đổi thành U coin để đầu tư, sau đó thêm 100 triệu nhân dân tệ khác vào ngày 3 tháng 5. Mười nghìn nhân dân tệ, nhưng sau đó phát hiện ra số tiền đó không thể chuyển ra ngoài được. Sau khi điều tra sơ bộ, vụ việc được xác định là một loại lừa đảo mạng viễn thông mới. Nhóm lừa đảo đã liên hệ với các nạn nhân tiềm năng thông qua các nền tảng xã hội, trang web hẹn hò và các kênh khác để thiết lập lòng tin, sau đó sử dụng cảm xúc, cám dỗ đầu tư và các phương tiện khác để lôi kéo. nạn nhân phạm tội tại địa điểm được chỉ định. Đăng ký trên nền tảng kỹ thuật số ảo và nạp tiền bằng tiền ảo. Theo cảnh sát xử lý vụ việc, nhóm lừa đảo đã rửa số U coin nhận được thông qua các giao dịch trên nền tảng tiền ảo và chuyển đổi chúng thành các dạng tiền hoặc tiền tệ khác. Quá trình này có thể liên quan đến nhiều tài khoản và nền tảng giao dịch để che giấu dòng tiền và trốn tránh cảnh sát. theo dõi. Hiện tại, vụ việc vẫn đang được điều tra.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty